1、精選優質文檔-傾情為你奉上系統安全管理辦法修訂記錄版本編號修訂日期主要修訂摘要審核記錄審核人員屬于部門審核日期第一章 總則第一條 為規范動研所中國航發湖南動力機械研究所（以下簡稱“動研所”）系統的技術管理和維護工作，確保系統安全運轉和系統運行管理的及時、高效、規范系統操作，加強內部控制，最大程度地防范技術操作風險，特制定本管理辦法。第二條 本管理辦法適用于動研所信息化技術研究部對信息系統的安全管理。第二章 系統安全管理第三條 禁用不必要的服務，盡量將系統中不用的服務、尤其是一些暫時不用的網絡服務關閉，從而使系統遭受攻擊的可能性降至最低。第四條 系統遵循最小權限原則，系統只能授予應用程序和用戶必

2、要的權限，而不能授予額外的權限。第五條 服務器需安裝軟件防火墻，由動研所信息化技術研究部統一部署，病毒庫統一升級。第六條 對于重要的數據進行加密。第七條 安全性能評估，對于安全產品應選用經過國內、國外權威第三方認證的安全產品，系統管理員應隨時保持警惕以預防攻擊事件的發生或者將攻擊的危害降至最低。第八條 對系統漏洞情況每年至少進行一次掃描，對漏洞風險持續跟蹤，在經過充分的驗證測試后對必要的漏洞開展修補工作，實施漏洞掃描或漏洞修補前，對可能的風險進行評估和充分準備,選擇恰當時間，并做好數據備份和回退方案，漏洞掃描或漏洞修補后應進行驗證測試，以保證系統的正常運行，掃描后記錄掃描情況，填寫系統安全掃描

3、情況記錄表（附錄1）。第九條 持續跟蹤廠商提供的系統升級更新情況，應在經過充分的測試評估后對必要的補丁進行及時更新，填寫系統與網絡設備補丁分析評估表（附錄2），在安裝系統補丁前對現有的重要文件進行備份，并對備份情況和系統升級情況進行記錄，填寫系統及網絡設備升級記錄表（附錄3）。第十條 至少每月對運行日志和審計數據進行分析。第三章 系統訪問控制要求第十一條 用戶或者應用程序訪問系統資源時要求系統管理員通過設置必要的選項完成以下功能：1. 提供適當的身份驗證方法。2. 識別和驗證身份。3. 記錄成功和失敗的系統訪問（日志信息）。4. 根據情況限制用戶連接時間。第十二條 登錄程序應最大限度地減少公開

4、的信息，以避免非法用戶使用。登錄程序應：1. 在登錄過程未成功之前禁止顯示系統或應用的標識。2. 顯示一般性注意事項。提醒用戶只有合法用戶才能訪問計算機。3. 登錄期間禁止提供幫助消息。4. 只有所有輸入數據完成后才能驗證登錄信息。5. 應限制允許登錄的失敗次數為3次。6. 限制登錄程序允許的時間上限和下限。如果超過限制，則系統必須終止登錄過程。7. 成功登錄后，宜顯示以下信息：1) 以前成功登錄的日期和時間。2) 上次成功登錄以來登錄失敗的詳細情況。第十三條 登錄超時要求1. 當系統超時未激活時，應能夠自動鎖住系統，防止非法訪問，但不宜關閉應用或網絡會話。2. 超時的時間設置取決于連接系統的

5、重要程度、終端風險暴露程度以及終端上信息的業務價值。第四章 用戶賬號安全第十四條 用戶身份識別和驗證1. 信息系統所有用戶都應擁有個人專用的唯一標識符（用戶ID）以便操作能夠追溯到具體責任人。但是在認證和授權體系沒有建立之前，特定操作系統內所有的用戶必須有一個唯一的ID，并且該ID名稱不能讓人猜測到該用戶的權限級別，如管理員、主管等。2. 對于每一個申請使用系統的用戶，應要求填寫系統賬號申請表（附錄4），并在表格中包含動研所的密碼安全政策規范，明確違反該規范的后果和責任，同時要求用戶簽名以產生法律效力，并在系統賬戶登記表進行登記。3. 對于用戶身份的驗證，宜采用多種身份驗證程序來加以證實。口令

6、是一種很常見的身份識別和驗證方法。采用加密方法和身份驗證協議也可達到同樣的效果。也可使用用戶的內存標記或智能卡等進行身份識別和驗證。也可使用基于個人唯一特點或特性的生物統計學身份驗證技術來驗證用戶身份。將安全技術和安全機制結合起來可進行更為嚴格的身份驗證。第十五條 用戶賬號過期1. 設置用戶賬號的有效有效期為一年。2. 當某一個用戶賬號過期時，系統維修檢查確認該用戶賬號所對應的員工是否還留在動研所，如果不是則將該賬號自動刪除，否則繼續激活該用戶賬號。3. 如果用戶賬號過期了但是用戶無法聯系到，先將其用戶賬號鎖住，等用戶回來以后按需要激活。第十六條 Guest賬號1. 應禁止長期保留Guest賬

7、號。2. 當系統安裝完成后必須視情況禁用Guest賬號，當用戶確實需要Guest賬號進行臨時的訪問時，才可將Guest賬號激活。3. 應確保Guest賬號的口令安全。第十七條 所有操作系統應禁止使用無口令的用戶賬號。第十八條 除非有特殊的要求，不應有多個用戶共享一個用戶ID和口令，而應使用用戶組的概念來代替。第十九條 用戶賬號安全其它事項1. 用戶賬號重命名，也就是對默認的賬號重命名。包括administrator、Guest以及其它一些在安裝統計時（如ISS）自動建立的賬號。2. 建立偽管理員賬號，如在系統中建立用戶名為“administrator”的用戶，并設定一個難以推測的口令，但是不賦

8、予其真正的管理員權限。第七章 文件系統安全第二十條 文件系統的安全是指系統中所有文件的安全，包括所有操作系統管理的設備資源的安全問題，例如打印機。文件系統的安全是系統安全的最后防線，主要通過兩種方式實現文件系統安全。1. 通過文件系統權限控制文件被惡意地址訪問或者在任何未經適當授權的情況下被訪問。2. 通過對文件進行適當地加密實現。第八章 附則第二十一條 本管理辦法由信息化技術研究部負責解釋。第二十二條 本管理辦法自發布之日起執行。附錄1：系統安全掃描情況記錄表系統安全掃描情況匯總表編號： 日期：提交人掃描日期掃描情況概述設備名稱多開端口漏洞情況主要隱患說明緊急風險高風險中風險低風險加固建議附

9、錄2：系統與網絡設備補丁分析評估表系統和網絡設備補丁分析評估表編號： 填表人： 日期：補丁描述及可能影響測試服務列表補丁分析補丁安裝測試跟蹤測試情況補丁安裝計劃緊急 危險 不危險 不適用說明： 機器重啟正常 漏洞已修改 業務系統正常 回退測試緊急 危險 不危險 不適用說明： 機器重啟正常 漏洞已修改 業務系統正常 回退測試緊急 危險 不危險 不適用說明： 機器重啟正常 漏洞已修改 業務系統正常 回退測試領導審批意見： 簽字：附件3：系統及網絡設備升級記錄表系統及網絡設備升級記錄表編號： 填表人： 日期： 審批編號補丁完整性、安全性校驗設備列表數據備份具體升級時間驗證檢查操作員復核跟蹤監控 (簽字并注明時間) 已備份 機器重啟正常 漏洞已修改 業務系統正常 已備份 機器重啟正常 漏洞已修改 業務系統正常 已備份 機器重啟正常 漏洞已修改 業務系統正常 已備份 機器重啟正常 漏洞已修改 業務系統正常 已備份 機器重啟正常 漏洞已修改 業務系統正常附件4：系統賬號申請表系統帳號申請表編號： 時間：申請人所屬動研所/部門聯系電話工號申請時間（年月日）申請人職位描述帳號申請目的帳號所屬業務網名稱變更類型創建 變更 撤銷帳號使